A série de exercícios 2025 da Health-ISAC revela lacunas críticas na coordenação ciberfísica e na resposta a incidentes entre equipes em organizações de saúde.
As organizações de saúde ainda lutam para coordenar as equipes de segurança física e cibernética durante incidentes complexos. Essa constatação fica clara em um novo relatório pós-ação pelo Health-ISAC (Centro de Análise e Compartilhamento de Informações de Saúde), que consolida os resultados de sete exercícios de resiliência realizados em 2025. Cada exercício simula um ataque combinado de ransomware e penetração física de um sistema de saúde fictício. Nas sete sessões, a comunicação fragmentada entre o pessoal de segurança cibernética e de segurança física emergiu como uma lacuna persistente.
Cada exercício foi conduzido como um workshop presencial de duas horas dentro de um workshop regional de um dia inteiro. O cenário colocou um sistema de saúde de médio porte sob pressão simultânea. Lentidão de EHR e mensagens de ransomware apareceram em estações de trabalho de cuidados intensivos. Enquanto isso, uma pessoa suspeita tentou entrar em áreas hospitalares restritas. À medida que os eventos aumentavam, os participantes passavam pelas fases de detecção, contenção, recuperação e acompanhamento. A série produziu 12 observações consolidadas que servem agora como prioridades para melhoria em todo o sector.
Restrição e coordenação sob pressão
O monitoramento em camadas surgiu como a principal defesa. Os participantes destacaram sinais correlacionados de plataformas SIEM, ferramentas EDR, sistemas de gerenciamento de identidade e capacidades de prevenção contra perda de dados. Essa abordagem oferece aos analistas a melhor chance de detectar antecipadamente o acesso não autorizado. Comparar a atividade em tempo real com o comportamento básico da rede também melhora a detecção de ameaças internas.
Após a confirmação da atividade maliciosa, a contenção rápida tem prioridade. Isolar sistemas infectados, desligar fisicamente dispositivos e segmentar sites comprometidos criam perturbações clínicas. As instalações estão frequentemente migrando para fluxos de trabalho baseados em papel. Ainda assim, os participantes concordaram que uma interrupção de curto prazo era preferível a permitir o movimento lateral nos sistemas clínicos e nos registos dos pacientes.
Uma resposta eficaz também requer critérios claros para declarar incidentes. O comandante do incidente designado precisa de autoridade para aprovar ações importantes, como a desconexão da rede. Os participantes enfatizaram que as organizações deveriam optar por uma escalada precoce. Os eventos que começam como tickets de suporte de rotina geralmente se transformam em incidentes cibernéticos confirmados. Além disso, os métodos de comunicação fora de banda revelaram-se essenciais quando as principais plataformas de e-mail e mensagens ficaram offline. Sistemas de notificação em massa, árvores telefônicas e páginas web pré-configuradas de “sites negros” ajudaram a manter a coordenação durante os exercícios.
Reduzindo a divisão ciberfísica
O cenário do exercício combina deliberadamente um ataque de ransomware com uma intrusão física. Os participantes reconheceram que a coordenação entre as equipas de segurança cibernética e física permanece limitada em muitos sistemas de saúde. Canais de comunicação partilhados e procedimentos de resposta conjunta são essenciais para colmatar esta lacuna. Estruturas de comando unificadas, como o sistema de comando de incidentes hospitalares, também surgiram como um elemento fundamental.
As organizações que já realizam exercícios conjuntos com lideranças cibernéticas, físicas, jurídicas, de gestão de emergências e clínicas relatam uma coordenação mais forte. Eles também demonstraram uma compreensão mais clara das responsabilidades multifuncionais. Os participantes incentivaram o setor mais amplo a adotar cenários ciberfísicos integrados como prática padrão.
A partilha de informação surge como tema recorrente em cada exercício. Internamente, a rápida disseminação de indicadores de comprometimento e inventário do sistema afetado acelera a tomada de decisões. Externamente, os participantes identificaram o Health-ISAC e os parceiros governamentais como canais críticos para a partilha de informações anonimizadas sobre ameaças e lições aprendidas. As organizações que contribuem regularmente para a inteligência compartilhada sobre ameaças detectam atividades maliciosas com mais rapidez e implantam defesas mais eficazes.
Relatórios de acompanhamento estruturados completam o ciclo de melhoria. As ações corretivas deverão ser direcionadas aos departamentos responsáveis e passar pela gestão formal. A manutenção de cronogramas detalhados de incidentes apoia o treinamento organizacional e a conformidade regulatória.
Leve embora
- Conecte sinais em sistemas SIEM, EDR, gerenciamento de identidade e DLP para detectar acesso não autorizado em um estágio inicial e estabelecer um comportamento de rede básico para detecção de anomalias
- Priorizar a contenção rápida em detrimento da conveniência operacional; isola sistemas comprometidos, mesmo ao impor fluxos de trabalho temporários baseados em papel
- Estabeleça critérios claros para relatar incidentes e permita que a equipe da linha de frente escale antecipadamente, antes que problemas rotineiros de TI se transformem em eventos cibernéticos confirmados
- Manter planos de comunicação fora do alcance, incluindo sistemas de notificação em massa, árvores telefônicas e páginas da web pré-configuradas, para uso quando as principais plataformas ficarem inativas
- Integre a liderança cibernética, de segurança física, jurídica e clínica em exercícios colaborativos para melhorar a coordenação durante incidentes complexos
- Partilhar indicadores anónimos de compromisso e lições aprendidas com o Health-ISAC e organizações parceiras para reforçar a deteção e proteção em todo o setor
Os autores do relatório encorajam as organizações do sector da saúde a considerar estas 12 observações como um ponto de partida para reforçar a resiliência. Eles observaram que o compartilhamento oportuno e estruturado de informações dentro da comunidade de saúde mais ampla serve como um multiplicador de forças que reduz a probabilidade de que o incidente de uma organização se torne um evento setorial.
